Résumé

Pourquoi ce cas appartient à un dossier de risque et de responsabilité

Blackbaud appartient à un dossier de risque et de responsabilité car le client visible était rarement la personne finalement exposée. Une université, fondation hospitalière, banque alimentaire, association de protection de l'enfance, organisation religieuse, école, musée, fondation de recherche ou association de service public peut avoir acheté le logiciel Blackbaud. Les enregistrements dans ces systèmes appartenaient aux donateurs, anciens élèves, patients, bénévoles de campagne, étudiants, entités à des événements, bénéficiaires, administrateurs, employés et sympathisants.

Ces personnes n'ont peut-être jamais vu un écran de connexion Blackbaud. Elles étaient représentées auprès du fournisseur par une institution qu'elles avaient choisie pour une mission, et non par un compte consommateur ordinaire.

La chronologie publique principale est inhabituellement instructive. L'ordonnance de la SEC àhttps://www.sec.gov/files/litigation/admin/2023/33-11165.pdfindique que Blackbaud a détecté un accès non autorisé le 14 mai 2020 et que l'enquête de l'entreprise a indiqué que l'accès avait peut-être commencé dès février 2020. L'ordonnance indique que l'incident a entraîné un accès non autorisé et l'exfiltration de plus d'un million de fichiers concernant plus de 13 000 clients. Blackbaud a annoncé l'incident et a notifié les clients concernés le 16 juillet 2020. L'ordonnance de la SEC indique ensuite que les employés ont appris en quelques jours que les déclarations antérieures concernant les informations de compte bancaire et les numéros de sécurité sociale des donateurs étaient erronées pour certains clients, mais que le formulaire 10-Q du 4 août 2020 de l'entreprise n'a pas divulgué cette portée plus large et a caractérisé le risque comme hypothétique.

Le formulaire 8-K ultérieur de Blackbaud, disponible àhttps://investor.blackbaud.com/static-files/58a4ae64-afc5-45f7-81df-69dfc93888fc, a changé l'image du risque public. Il a indiqué que des investigations médico-légales supplémentaires ont révélé que, pour certains clients notifiés, l'attaquant a peut-être accédé à des champs non cryptés destinés aux informations de compte bancaire, aux numéros de sécurité sociale, aux noms d'utilisateur et/ou mots de passe. Cela ne signifiait pas que chaque client avait ces champs exposés. Cela signifiait que l'architecture de notification initiale n'avait pas réussi à porter l'incertitude totale et que certains clients avaient besoin d'un soutien supplémentaire.

La question de la responsabilité est donc pratique. Qui avait le contrôle pratique sur la garde des données locataires, les preuves d'exfiltration, la communication du paiement de rançon, le calendrier de notification aux clients, la coopération avec les régulateurs et la preuve que les constituants des associations sans but lucratif n'étaient pas devenus un coût invisible de la concentration cloud?

La réponse commence par Blackbaud car Blackbaud contrôlait l'environnement hébergé, l'enquête, les premières notifications aux clients, la posture de conservation des données, les fichiers spécifiques au service et le flux de preuves dont les institutions en aval avaient besoin pour notifier leurs communautés.

Cela n'efface pas la responsabilité du client. Les clients décident quelles données collecter, quels champs utiliser, quels fichiers joints télécharger, combien de temps conserver les anciens enregistrements et comment communiquer avec leurs constituants. Mais la responsabilité du client se trouve derrière une barrière de preuves du fournisseur.

Si une association sans but lucratif ne peut pas voir quels fichiers de Blackbaud ont été copiés, ne peut pas vérifier si un champ était crypté, ne peut pas inspecter les communications de l'attaquant et ne peut pas confirmer indépendamment la suppression des données, alors la discipline des preuves du fournisseur devient la condition déterminante pour la responsabilité de tous les autres.

La chronologie est une affaire de contrôle des divulgations, pas seulement une affaire d'intrusion

La chronologie importe car elle montre que la responsabilité ne s'est pas arrêtée lorsque l'attaquant a été expulsé. Elle s'est déplacée vers les contrôles de divulgation. Le communiqué de presse de la SEC àhttps://www.sec.gov/intelligence team/press-releases/2023-48indique que Blackbaud a accepté de payer une pénalité civile de 3 millions de dollars américains pour régler les accusations de divulgations trompeuses, sans admettre ni nier les conclusions de la SEC. Le point important pour ce dossier n'est pas le montant en dollars. C'est la défaillance de contrôle décrite par la SEC: le personnel technique et des relations clients a appris des informations sur les données sensibles qui n'ont pas atteint la haute direction responsable de la divulgation publique avant le dépôt d'août 2020.

C'est un mode de défaillance différent d'une faille de pare-feu ou d'un compromis de terminal. C'est un écart dans l'acheminement des preuves. Dans un incident cloud, les faits passent des enquêteurs terminaux aux équipes produit, aux scripts de support client, aux avocats, aux dirigeants, aux régulateurs, aux investisseurs et aux clients. Si ces faits ne se déplacent pas assez rapidement ou avec assez de précision, le dossier public peut dire aux personnes concernées la mauvaise chose même après que l'entreprise sait que la première notification était incomplète.

Pour les clients missionnaires, ce retard n'est pas une abstraction de relations avec les investisseurs. Il décide quand un donateur peut geler un compte bancaire, quand un patient peut surveiller un usage abusif d'identité, quand une université peut notifier les anciens élèves et quand une association peut répondre aux sympathisants inquiets.

L'ordonnance de la SEC décrit une séquence particulièrement nette. La notification du 16 juillet de Blackbaud disait que l'attaquant n'avait pas accédé aux informations de compte bancaire ni aux numéros de sécurité sociale des donateurs. Les questions des clients ont ensuite soulevé des inquiétudes quant à la possibilité que des données sensibles aient été stockées dans des pièces jointes ou des champs non cryptés. Dès le 21 juillet, selon l'ordonnance de la SEC, le personnel avait élaboré un script de service client reconnaissant que certaines pièces jointes et champs potentiellement utilisés pour ces catégories n'étaient pas cryptés.

À la fin juillet, le personnel avait confirmé l'accès et l'exfiltration de certaines informations de compte bancaire et numéros de sécurité sociale non cryptés pour un certain nombre de clients concernés. Le formulaire 10-Q du 4 août n'incluait pas cette correction substantielle.

La FTC a ensuite encadré le même événement à travers la protection des consommateurs et la conservation des données. Son communiqué àhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxindique que Blackbaud n'a pas mis en œuvre de garanties appropriées, a permis à la violation de passer inaperçue pendant des mois, a conservé les données plus longtemps que nécessaire, a payé 24 Bitcoins après que l'attaquant a menacé d'exposer les données volées et n'a jamais vérifié que l'attaquant avait supprimé les données. Ce sont des allégations et des termes de l'ordonnance de la FTC, pas des journaux médico-légaux privés rendus publics par Blackbaud. Ils sont toujours centraux car ils identifient la norme de responsabilité publique: sécurité, conservation, détection, notification et preuve de suppression forment une chaîne.

Cette chaîne est la raison pour laquelle il s'agit d'un cas de dépendance au service cloud. Les clients n'avaient pas seulement besoin de leur propre réponse aux incidents. Ils avaient besoin de preuves du fournisseur qui pouvaient être converties en notifications légales, précises et spécifiques au client. Une association ne peut pas dire de manière responsable aux sympathisants "aucune action requise" si l'évaluation du fournisseur n'est pas encore assez solide pour soutenir cette affirmation.

Une université ne peut pas dire aux anciens élèves si les champs bancaires ou les numéros d'identité étaient impliqués si le fournisseur n'a analysé que les noms de fichiers et pas les contenus pertinents. Le calendrier des notifications devient une surface de contrôle.

Les données des associations ne sont pas à faible risque parce que l'institution est bienveillante

L'expression "données d'association" peut sembler anodine. Elle ne l'est pas. Une base de données de donateurs peut contenir des noms, adresses, adresses e-mail, numéros de téléphone, dates de naissance, relations familiales, informations sur l'employeur, indicateurs de richesse, intérêts pour les legs, historique des dons récurrents, coordonnées bancaires, participation à des événements, préférences de bénévolat, affiliations au conseil d'administration, notes de campagne, association religieuse ou politique, relations avec des fondations de santé et historiques de contacts qui révèlent des liens privés.

Dans un contexte universitaire, les dossiers des anciens élèves peuvent inclure le diplôme, l'année, l'identifiant étudiant, les schémas d'engagement, les détails de carrière et la capacité philanthropique. Dans un contexte de fondation de santé, la relation institutionnelle peut impliquer une proximité sanitaire sensible même si les dossiers cliniques ne sont pas dans le système violé.

Le formulaire 10-K 2023 de Blackbaud àhttps://www.sec.gov/Archives/edgar/data/1280058/000128005824000013/blkb-20231231.htmdécrit des produits de collecte de fonds et de gestion des relations, notamment Raiser's Edge NXT, Blackbaud CRM, eTapestry, Luminate Online, TeamRaiser, JustGiving, Fundraiser Performance Management et Altru. Les descriptions de produits importent car elles montrent la surface de dépendance: collecte de fonds, formulaires de don, gestion de campagnes, dons numériques, collecte de fonds événementielle, analyses, engagement, adhésion et dossiers des constituants. Ce ne sont pas des fichiers clients isolés. Ce sont des mémoires opérationnelles pour des institutions qui entretiennent souvent des relations de longue durée avec les personnes.

Les notifications aux clients rendent la couche humaine visible. L'avis de l'Université d'Alabama àhttps://giving.ua.edu/data/indique que Blackbaud a informé l'université le 16 juillet 2020 qu'une attaque ransomware s'était produite en mai et qu'un sous-ensemble des données de plusieurs clients avait été copié. L'avis de l'UNC System àhttps://www.northcarolina.edu/blackbaud-information-security-incident/décrivait Blackbaud comme l'un des plus grands fournisseurs de gestion de relations avec les constituants pour l'enseignement supérieur et indiquait que l'environnement de données auto-hébergé avait été affecté. L'avis de l'Université Napier d'Édimbourg àhttps://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incidentlistait des catégories incluant les coordonnées, les détails de cours et d'éducation, l'engagement avec les anciens élèves et les activités de collecte de fonds, les détails professionnels et les intérêts fournis via des enquêtes.

Les avis des associations n'étaient pas identiques car les données clients n'étaient pas identiques. L'avis de Child & Family Service àhttps://childandfamilyservice.org/securityincident/faisait référence aux informations biographiques, de contact, d'historique des dons et relationnelles. La Task Force for Global Health àhttps://www.taskforce.org/blackbaud-data-security-incident/décrivait un incident de fournisseur tiers et une enquête sur l'impact sur les données des donateurs. L'avis de Ridgewater College àhttps://ridgewater.edu/alumni-friends/ridgewater-college-foundation/blackbaud-data-security-incident/indiquait que Blackbaud avait été ciblé entre le 7 février et de manière intermittente jusqu'au 20 mai 2020 et avait informé le collège le 16 juillet. Ces avis sont précieux car ils montrent les institutions en aval traduisant un événement de fournisseur en plusieurs relations de confiance locales.

Le problème de responsabilité est que ces institutions en aval étaient à la fois victimes et messagers. Elles devaient répondre aux questions des donateurs, anciens élèves et sympathisants tout en dépendant de l'enquête de Blackbaud. Elles devaient également évaluer si leurs propres pratiques de données aggravaient l'impact: stockaient-elles des données sensibles dans des champs de texte libre? Téléchargeaient-elles des pièces jointes non cryptées? Conservaient-elles de vieux enregistrements sans but actuel? Comprenaient-elles comment Blackbaud conservait les données des anciens clients?

Le fournisseur contrôlait la plateforme, mais les clients contrôlaient certains choix de données à l'intérieur. La responsabilité suit les deux couches, dans l'ordre.

Les faits confirmés, les inférences étayées et les inconnues doivent rester séparés

Les faits publics confirmés sont suffisants pour rendre l'affaire sérieuse. L'ordonnance de la SEC indique que plus d'un million de fichiers concernant plus de 13 000 clients ont été consultés et exfiltrés. Elle indique que l'entreprise a détecté l'attaque le 14 mai 2020, a annoncé l'incident et notifié les clients concernés le 16 juillet, a déposé un formulaire 10-Q le 4 août et a divulgué dans un formulaire 8-K du 29 septembre que des champs non cryptés destinés aux informations de compte bancaire, numéros de sécurité sociale, noms d'utilisateur et/ou mots de passe avaient peut-être été consultés pour certains clients.

Le communiqué de la FTC indique que la violation est passée inaperçue pendant trois mois, que les données personnelles de millions de consommateurs étaient impliquées, que la conservation inutile de données faisait partie du problème et que l'ordonnance exigeait la suppression des données non nécessaires ainsi qu'un programme de sécurité de l'information complet.

Les résultats d'application confirmés sont également clairs. L'annonce de Blackbaud en octobre 2023 àhttps://www.blackbaud.com/intelligence team/article/blackbaud-resolves-multi-state-attorneys-general-investigation-of-2020-security-incidentindique qu'elle a accepté de payer 49,5 millions de dollars américains à 49 États et au district de Columbia et de mettre en œuvre ou d'améliorer les programmes et outils de cybersécurité, tout en ne faisant pas de déclarations trompeuses concernant la protection des données, la vie privée, la sécurité, la confidentialité, l'intégrité et les questions de notification de violation. Le communiqué du procureur général de New York àhttps://ag.ny.gov/press-release/2023/attorney-general-james-and-multistate-coalition-secure-495-million-cloud-companydécrivait l'accord comme résolvant une enquête multi-étatique sur l'exposition d'informations de donateurs. Le communiqué du procureur général de Californie àhttps://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-675-million-settlement-against-blackbaud-overannonçait un accord séparé de 6,75 millions de dollars américains en 2024. Ce sont des dossiers de résolution civile, pas des conclusions pénales.

L'inférence étayée est plus étroite. Il est raisonnable d'inférer que de nombreux clients ne pouvaient pas déterminer indépendamment l'étendue du contenu des fichiers à partir de leurs propres systèmes car l'incident s'est produit dans l'environnement de Blackbaud et parce que l'ordonnance de la SEC décrit l'examen des noms de fichiers de Blackbaud et les préoccupations ultérieures des clients concernant les champs non cryptés. Il est raisonnable d'inférer que la qualité des notifications était inégale car les notifications en aval dépendaient d'informations évolutives du fournisseur.

Il est raisonnable d'inférer que la conservation inutile a augmenté la population de personnes exposées car la FTC a allégué que Blackbaud conservait les données plus longtemps que nécessaire, y compris les informations appartenant à d'anciens clients.

Les inconnues doivent rester inconnues. Le dossier public ne donne pas une liste complète de chaque client affecté, chaque personne affectée, chaque nom de fichier, chaque champ copié, chaque champ crypté, chaque instance de produit spécifique au client, chaque notification privée, chaque communication avec les forces de l'ordre, chaque communication de l'attaquant, chaque conclusion médico-légale ou chaque amélioration de sécurité. Il ne prouve pas que chaque enregistrement copié a été utilisé à mauvais escient. Il ne prouve pas que la suppression par l'attaquant a eu lieu.

Il ne prouve pas que tous les clients ont stocké les données de manière responsable. Il ne prouve pas non plus que toutes les corrections ultérieures ont été inefficaces. Un dossier de responsabilité responsable ne devrait pas combler ces lacunes avec des accusations non fondées.

Cette séparation n'est pas une subtilité juridique. C'est la discipline que la réponse aux incidents elle-même devrait utiliser. Les faits confirmés disent aux personnes concernées quelles mesures prendre. Les inférences étayées disent aux clients quelles questions poser. Les inconnues disent aux régulateurs où exiger des preuves. Si les trois catégories sont mélangées, la communication de violation devient soit un faux réconfort, soit une panique. Le cas de Blackbaud montre pourquoi les catégories doivent être explicites dès la première notification.

Le paiement de rançon n'est pas une preuve de suppression

Le dossier du paiement de rançon est central car de nombreuses notifications en aval ont répété l'idée que Blackbaud a payé et a reçu des assurances que les données copiées avaient été détruites. Le communiqué de la FTC àhttps://www.ftc.gov/news-events/news/press-releases/2024/02/ftc-order-will-require-blackbaud-delete-unnecessary-data-boost-safeguards-settle-charges-its-laxindique que Blackbaud a payé 24 Bitcoin après que l'attaquant a menacé d'exposer les données et, selon la FTC, n'a jamais vérifié que l'attaquant avait effectivement supprimé les données volées. Les notifications clients, comme celles d'Edinburgh Napier, de Child & Family Service et de l'Université d'Alabama, décrivaient des assurances ou des confirmations de Blackbaud concernant la suppression. Ces notifications montrent la dépendance en aval au langage du fournisseur.

Le problème de responsabilité est que le paiement de rançon peut être une décision de crise, mais ce n'est pas un contrôle de sécurité. Il ne prouve pas la suppression. Il ne prouve pas qu'aucune copie n'a été réalisée. Il ne prouve pas qu'aucune donnée n'a été consultée. Il ne résout pas le problème de conservation. Il ne notifie pas les personnes concernées. Il ne répare pas la voie d'accès. Il ne remplace pas le cryptage, la segmentation, l'authentification multifacteur, la gestion des vulnérabilités, la surveillance, le moindre privilège, la validation des sauvegardes, la minimisation des données et les contrôles de divulgation.

Le guide StopRansomware de CISA àhttps://www.cisa.gov/stopransomware/ransomware-guideet le guide de traitement des incidents du NIST àhttps://csrc.nist.gov/pubs/sp/800/61/r2/finalfournissent un vocabulaire public utile ici. Ils ne formulent pas de conclusions sur Blackbaud. Ils définissent pourquoi un événement ransomware doit être traité par la préparation, la détection, le confinement, l'éradication, la récupération, la communication et les leçons apprises. Si un fournisseur paie une rançon, cette décision se situe dans le dossier de réponse. Elle ne devrait pas devenir la preuve que les consommateurs sont en sécurité.

Pour les clients missionnaires, le problème de suppression est particulièrement difficile. Une association peut ne pas avoir la capacité technique de remettre en question la déclaration de suppression d'un fournisseur. Une université peut avoir un conseiller juridique mais pas accès aux communications de l'attaquant avec le fournisseur. Une petite fondation peut émettre une notification en utilisant le langage du fournisseur car elle n'a pas grand-chose d'autre. C'est pourquoi les régulateurs comptent.

L'ordonnance de la FTC exigeant la suppression des données et les calendriers de conservation a transformé une allégation de suppression en une obligation opérationnelle: l'entreprise doit supprimer les données dont elle n'a plus besoin et documenter pourquoi les données conservées restent nécessaires.

La leçon durable est que la suppression des données doit être contrôlable avant un incident. Si une entreprise conserve d'anciennes données clients parce que le stockage est bon marché et que le nettoyage est compliqué, elle crée une population de violation plus large. Si elle ne peut pas prouver ce qu'il y avait dans les fichiers copiés, elle ne peut pas émettre de notifications précises. Si elle se fie aux promesses de l'attaquant, elle a transféré la preuve de sécurité à la partie la moins fiable de la chaîne. La responsabilité exige des preuves de suppression qui appartiennent au fournisseur, pas à l'attaquant.

Les notifications clients montrent une responsabilité déléguée sous pression

Les notifications en aval sont les meilleures preuves publiques de la manière dont l'incident a atteint les communautés. Les avis des universités, associations et fondations ont répété la description de l'événement par Blackbaud, ont expliqué les catégories locales de données et ont dit aux personnes concernées ce que l'institution faisait. Cette répétition n'est pas un défaut en soi. C'est ainsi que fonctionne la communication d'incident tiers. Le défaut apparaît lorsque la source en amont est incomplète, trop certaine ou lente à se mettre à jour.

L'avis de l'UNC àhttps://www.northcarolina.edu/blackbaud-information-security-incident/a présenté Blackbaud comme un fournisseur majeur de gestion de relations avec les constituants pour l'enseignement supérieur. L'avis de l'Université d'Alabama àhttps://giving.ua.edu/data/décrivait les dossiers liés aux donateurs et l'assurance de paiement et de suppression du fournisseur. L'avis d'Edinburgh Napier àhttps://www.napier.ac.uk/alumni/alumni-news/latest-news/blackbaud-data-security-incidentdécrivait les champs d'engagement des anciens élèves et de collecte de fonds. La Task Force for Global Health àhttps://www.taskforce.org/blackbaud-data-security-incident/mettait l'accent sur les informations des donateurs et une enquête institutionnelle en cours. Chaque avis devait localiser l'événement du fournisseur pour une communauté distincte.

C'est une responsabilité déléguée. Le fournisseur contrôle les preuves. Le client contrôle la relation avec les constituants. Le constituant supporte le risque. Si les preuves du fournisseur sont tardives, le client semble évasif. Si l'hygiène des données du client est mauvaise, l'incident du fournisseur a un effet plus large. Si le constituant perd confiance, la mission de l'association peut en souffrir même si l'association n'a pas exploité l'infrastructure compromise. La ligne entre le risque du fournisseur et le risque de la mission disparaît.

La continuité du secteur public fait partie de cela car de nombreuses associations à but non lucratif, universités et fondations liées à la santé ne sont pas des institutions décoratives. Elles soutiennent l'éducation, la recherche médicale, les soins sociaux, le patrimoine culturel, la réponse aux catastrophes, les services communautaires et les populations vulnérables. Une violation des dossiers des constituants peut réduire la confiance dans les collectes de fonds, créer des charges de soutien, distraire le personnel et rendre les gens hésitants à s'engager. Le préjudice opérationnel n'est pas toujours une panne système.

Parfois, le préjudice est une panne de confiance: les téléphones sonnent, les donateurs demandent des explications, les anciens élèves remettent en question les pratiques de données et le personnel perd du temps à reconstituer les dossiers et les obligations légales.

Le fournisseur devrait donc concevoir la communication d'incident pour une responsabilité déléguée. Cela signifie une portée spécifique au client, des étiquettes d'incertitude claires, des conseils d'action, des déclencheurs de notification supplémentaire, une coordination avec les régulateurs et une conservation des preuves. Cela signifie également éviter les assurances catégoriques avant que le contenu des fichiers et les pratiques de champ des clients soient connus. Dans le cas de Blackbaud, les dossiers ultérieurs de la SEC et de la FTC montrent pourquoi la certitude précoce est devenue un passif.

L'application a transformé la qualité des notifications en obligation de contrôle

Les dossiers de la SEC, de la FTC, des procureurs généraux d'États et de la Californie mettent chacun l'accent sur une partie différente de la chaîne. La SEC s'est concentrée sur la divulgation aux investisseurs et les contrôles de divulgation. La FTC s'est concentrée sur la protection des consommateurs, la sécurité des données, la conservation, la notification et les représentations. Les procureurs généraux d'États se sont concentrés sur la sécurité des données, la notification de violation et les obligations de protection des consommateurs entre juridictions. La Californie a ajouté un dossier de règlement séparé.

Ensemble, ils ont transformé la qualité des notifications en une obligation de contrôle, non en une préférence de communication.

Le rapport de l'AP àhttps://apnews.com/article/dba8fac12af30f74691c7af4fec69a14est utile comme résumé d'actualité publique car il décrit l'accord multi-étatique et note que la violation a affecté plus de 13 000 associations à but non lucratif et exposé des informations sensibles de millions de personnes, tout en notant que Blackbaud n'a pas admis de faute dans l'accord. Le reportage de Reuters àhttps://www.reuters.com/legal/software-firm-blackbaud-pay-3-mln-misleading-disclosures-ransomware-attack-sec-2023-03-09/a également résumé l'accord de la SEC. Les reportages ne remplacent pas les ordonnances, mais ils montrent comment les dossiers d'application se sont traduits en compréhension publique.

La qualité des notifications a plusieurs composantes. Premièrement, le calendrier: le client a-t-il appris assez rapidement pour protéger les personnes concernées? Deuxièmement, la spécificité: la notification a-t-elle identifié les catégories de données en cause? Troisièmement, l'exactitude: les affirmations catégoriques étaient-elles étayées par des preuves? Quatrièmement, l'obligation de mise à jour: l'entreprise a-t-elle corrigé les notifications lorsque de nouveaux faits sont apparus? Cinquièmement, la possibilité d'action: les personnes concernées savaient-elles quoi faire?

Sixièmement, la responsabilité: l'entreprise a-t-elle identifié quels faits étaient confirmés, quels étaient en cours d'investigation et quels étaient inconnus?

Le dossier public de Blackbaud montre des faiblesses dans plusieurs de ces composantes. L'ordonnance de la SEC indique que le dépôt d'août a omis le fait substantiel que certaines données non cryptées de comptes bancaires et de numéros de sécurité sociale avaient été exfiltrées, même si le personnel l'avait appris. La FTC a allégué que Blackbaud avait attendu près de deux mois pour notifier les clients et avait ensuite induit les consommateurs en erreur sur l'étendue des données volées, notamment en déclarant que les clients n'avaient pas besoin d'agir.

Les accords avec les États ont exigé des changements autour de la sécurité des données et des pratiques de notification de violation. C'est une affaire de preuves se déplaçant trop lentement dans l'organisation.

Une organisation qui traite des dossiers sensibles d'autres institutions devrait traiter les contrôles de divulgation comme faisant partie de l'architecture de sécurité. Elle a besoin d'une voie des conclusions médico-légales aux notifications clients, aux dépôts auprès de la SEC, aux régulateurs de la vie privée, aux scripts de centre d'appels, à la surveillance du conseil d'administration et à la correction spécifique au client. Si cette voie est informelle, la première déclaration peut devenir un piège.

Les équipes techniques peuvent connaître un fait, les équipes clients un autre, les équipes juridiques un autre et la haute direction un autre. Le public reçoit une moyenne d'ignorance.

La conservation des données a aggravé le problème de responsabilité

L'accent de la FTC sur la conservation des données est l'une des parties les plus importantes du dossier Blackbaud. La conservation est souvent invisible jusqu'à une violation. Avant un incident, les données historiques supplémentaires peuvent sembler utiles: d'anciens donateurs pourraient revenir, d'anciens anciens élèves pourraient donner, d'anciens entités à des événements pourraient rejoindre une campagne, d'anciennes pièces jointes pourraient aider à reconstruire une relation. Après un incident, les données supplémentaires deviennent un inventaire d'exposition.

Si l'organisation ne peut pas expliquer pourquoi elle détient encore un champ, elle a stocké un risque sans but.

Le communiqué de la FTC indique que Blackbaud a conservé des données plus longtemps que nécessaire, y compris des informations appartenant à d'anciens clients. Ce détail importe car il modifie l'équité de la répartition des risques. Une personne peut cesser de donner, obtenir son diplôme, quitter un programme ou se retirer d'une campagne. L'institution d'origine peut cesser d'utiliser un fournisseur. Si les données restent dans un environnement hébergé des années plus tard, la personne exposée supporte toujours un risque sans aucun bénéfice de service actuel.

Une défaillance de conservation peut transformer une violation de fournisseur en un préjudice à long terme pour des personnes qui n'ont aucun moyen pratique d'exiger la suppression.

La souveraineté et la localisation des données entrent également en jeu ici. Blackbaud soutenait des clients dans de nombreux pays, et son formulaire 10-K 2023 décrit des opérations aux États-Unis, en Australie, au Canada, au Costa Rica et au Royaume-Uni, avec des utilisateurs dans plus de 100 pays. Ce contexte de plateforme mondiale importe. Un client dans une juridiction peut avoir des obligations envers des donateurs ou anciens élèves dans une autre.

Une université britannique, une association canadienne, une fondation hospitalière américaine ou une association australienne peut faire face à des obligations différentes en matière de vie privée, de notification et de conservation. L'architecture hébergée du fournisseur et les cartes de données spécifiques au client deviennent une infrastructure juridique.

Le guide sur les ransomwares de l'ICO àhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/ransomware-and-data-protection-compliance/est un contexte utile car il traite le ransomware comme un problème de protection des données, pas seulement un incident de logiciel malveillant. Il ne formule pas de conclusion spécifique à Blackbaud dans cet article. Il montre pourquoi l'analyse des violations de données personnelles doit inclure la sécurité, la disponibilité, la confidentialité, l'exfiltration, les obligations du responsable du traitement et du sous-traitant, et les preuves. Dans une plateforme mutualisée pour associations à but non lucratif, ces obligations sont réparties mais non diluées.

La discipline de conservation est également un devoir du client. Les clients ne devraient pas stocker les numéros de sécurité sociale, les coordonnées bancaires, les notes médicales, les informations de passeport ou les pièces jointes de texte libre sensibles dans des systèmes de gestion de relations à moins d'avoir un but défini, une posture de cryptage, une politique d'accès, un calendrier de suppression et une assurance du fournisseur.

La discussion de l'ordonnance de la SEC sur les pièces jointes et les champs non cryptés est un avertissement: les clients peuvent créer des poches de données sensibles dans des systèmes que les services achats peuvent ne pas comprendre. Le fournisseur doit protéger la plateforme, mais les clients doivent savoir ce qu'ils y mettent.

L'assurance client doit être spécifique au produit

Le dossier Blackbaud montre également pourquoi l'assurance générique du fournisseur est trop faible pour les plateformes de gestion des constituants. Un client sans but lucratif peut utiliser un produit pour les dossiers des donateurs, un autre pour les campagnes en ligne, un autre pour la collecte de fonds événementielle et un autre pour les analyses ou la gestion des subventions. Chaque produit peut stocker des données différentes, appliquer des paramètres par défaut différents, créer des exportations différentes et prendre en charge des pratiques de pièces jointes ou de texte libre différentes.

Si une notification d'incident indique seulement que "les données client" ont été copiées, le client doit encore savoir quel produit, quels champs, quels enregistrements historiques, quelles exportations et quelles intégrations sont impliqués.

L'assurance spécifique au produit devrait commencer par des cartographies de données. Un client devrait pouvoir voir quels systèmes Blackbaud contiennent des noms, adresses, historique des dons, champs bancaires, numéros d'identité, champs de connexion, notes d'engagement, pièces jointes, participation à des événements, liens relationnels et fichiers importés. Il devrait savoir si ces champs sont cryptés, consultables, exportables, sauvegardés ou conservés après la résiliation du contrat. Il devrait également savoir si les administrateurs clients peuvent accidentellement placer des données sensibles dans des champs plus faibles.

Dans le cas Blackbaud, le dossier réglementaire a fait de l'emplacement des champs et des pièces jointes une partie de l'histoire de la responsabilité. Cela devrait devenir une leçon pour les achats.

La même assurance devrait couvrir les intégrations. Les systèmes de collecte de fonds fonctionnent rarement seuls. Ils se connectent à des processeurs de paiement, des plateformes de courriel, des outils d'analyse, des formulaires web, des systèmes événementiels, des entrepôts de données, des systèmes financiers et des fournisseurs d'identité. Un incident ransomware dans l'environnement du fournisseur principal peut ne pas compromettre directement chaque intégration, mais le client doit encore savoir si des jetons, des exportations, des webhooks, des journaux d'API ou des fichiers importés se trouvaient dans le patrimoine affecté.

Une réponse étroite "base de données" peut manquer la réalité opérationnelle de la façon dont le travail de collecte de fonds est automatisé.

Les petites associations ont besoin de ces preuves sous une forme qu'elles peuvent utiliser. Une grande université peut avoir un conseiller en confidentialité, un personnel d'achat et des réviseurs de sécurité. Une association locale peut avoir un gestionnaire des opérations, un collecteur de fonds à temps partiel et un membre du conseil responsable de la surveillance technologique. Si l'assurance du fournisseur est rédigée uniquement pour les avocats d'entreprise, les clients avec la moindre capacité interne peuvent prendre les décisions de conservation et de notification les plus faibles.

Un fournisseur cloud qui sert des institutions missionnaires devrait donc publier une assurance à plusieurs niveaux: un résumé d'incident en langage clair, un rapport de catégories de données spécifique au client, une mise à jour des contrôles de sécurité et des documents plus approfondis pour les clients réglementés ou à haut risque.

L'assurance client devrait également séparer les systèmes en direct des sauvegardes et archives. Les constituants supposent souvent que s'ils cessent de donner ou demandent à une association de cesser de les contacter, leur risque diminue. Cela peut être faux si d'anciennes exportations, des ensembles de sauvegarde, des fichiers de campagne archivés ou des bases de données d'anciens clients subsistent. Les préoccupations de la FTC sur la conservation rendent ce point concret.

Un ensemble d'assurance défendable devrait expliquer les calendriers de suppression et la conservation des sauvegardes d'une manière que les clients puissent traduire dans leurs propres avis de confidentialité.

Enfin, l'assurance spécifique au produit devrait être continue. Elle ne devrait pas commencer seulement après un incident. Les clients devraient examiner les catégories de données lors de la mise en œuvre, après des campagnes majeures, lors de l'importation d'enregistrements historiques, lors du changement de flux de paiement, lors de l'activation de nouveaux modules et lors du renouvellement. Une violation expose les décisions historiques. Une meilleure gouvernance réduit l'historique qui peut être exposé.

Cette révision continue devrait inclure la conception des rôles ainsi que les champs de données. La collecte de fonds, les relations avec les anciens élèves, l'administration des subventions, les finances, les événements, la gestion des bénévoles et les rapports exécutifs peuvent tous nécessiter des modèles d'accès différents. Si des droits d'administrateur étendus deviennent un défaut de commodité, le client crée une surface d'exposition plus large dans l'environnement du fournisseur.

Si le fournisseur ne peut pas montrer aux clients où existent des rôles privilégiés, quand ils ont été utilisés pour la dernière fois et quelles exportations ou pièces jointes ils peuvent atteindre, le client ne peut pas gouverner sa propre part du risque. Le dossier Blackbaud pointe donc vers une obligation d'assurance partagée: le fournisseur doit rendre les contrôles produit suffisamment visibles pour être utilisés, et les clients doivent traiter ces contrôles comme faisant partie de la gestion des donateurs et constituants plutôt que comme un paramètre de back-office avec un examen récurrent au niveau du conseil.

Ce que la réparation durable devrait prouver

La réparation durable après l'incident Blackbaud devrait prouver sept choses. Premièrement, elle devrait prouver la portée. Le fournisseur devrait savoir quels produits, clients, fichiers, champs, pièces jointes, catégories de données et populations de personnes ont été affectés. L'examen des noms de fichiers peut être un point de départ, mais une affirmation de portée qui affecte les informations bancaires ou les numéros d'identité nécessite des preuves au niveau du contenu ou une raison documentée pour laquelle un examen au niveau du contenu est impossible.

Deuxièmement, elle devrait prouver l'intégrité des notifications. Il devrait y avoir une voie documentée des faits médico-légaux aux notifications clients, notifications supplémentaires, divulgations aux investisseurs, rapports aux régulateurs, scripts de centre d'appels et rapports au conseil. Si une équipe technique apprend qu'une notification est erronée, la correction ne devrait pas dépendre d'une escalade informelle. L'affaire de la SEC montre que les contrôles de divulgation sont eux-mêmes un résultat de sécurité.

Troisièmement, elle devrait prouver le contrôle de la conservation. Les calendriers de conservation des données devraient être spécifiques au produit et au client, suffisamment pour expliquer pourquoi les données sont conservées, quand elles seront supprimées et qui peut approuver des exceptions. Les données des anciens clients ne devraient pas rester dans des environnements de production ou de sauvegarde accessibles sans un besoin défendable. Si la conservation est légalement requise, elle devrait être protégée en fonction de la sensibilité.

Quatrièmement, elle devrait prouver le cryptage et la gouvernance des champs. Un fournisseur qui permet des champs de texte libre et des pièces jointes doit savoir où des données sensibles peuvent apparaître en dehors des champs protégés. Le cryptage n'aide que si les clients ne peuvent pas accidentellement placer des données sensibles dans des emplacements non cryptés. La conception du produit, les conseils aux clients, l'analyse, les avertissements et les contrôles par défaut font tous partie de la réparation.

Cinquièmement, elle devrait prouver le contrôle d'accès et la segmentation. La FTC a allégué des défaillances dans la surveillance, la segmentation, l'authentification multifacteur, les contrôles de mots de passe, les contrôles de pare-feu et les tests. Une réparation durable montrerait le moindre privilège, une authentification plus forte, la séparation des environnements, la surveillance des accès privilégiés, la suppression des vulnérabilités, la couverture des journaux et une détection testée.

Sixièmement, elle devrait prouver la réponse aux ransomwares sans se fier aux assurances de l'attaquant. Si des données copiées sont prétendument détruites, l'entreprise devrait indiquer quelles preuves soutiennent cette affirmation et quelle incertitude subsiste. Si la suppression ne peut pas être vérifiée, les notifications ne devraient pas impliquer de vérification. Le paiement n'efface pas l'obligation de notification.

Septièmement, elle devrait prouver la gouvernance du client. Les clients de Blackbaud devraient recevoir des preuves qui les aident à corriger leurs propres pratiques: utilisation des champs sensibles, risques des pièces jointes, paramètres de conservation, options de cryptage, accès aux journaux et modèles de notification recommandés. La réparation du fournisseur est incomplète si les clients peuvent recréer les mêmes schémas d'exposition à l'intérieur du produit.

La responsabilité suit le contrôle des preuves

L'allocation finale suit le contrôle pratique. Blackbaud contrôlait l'environnement hébergé, le programme de sécurité, la réponse aux incidents, les fournisseurs médico-légaux, les premières notifications clients, les preuves de communication avec l'attaquant, l'architecture de conservation des données, les garanties produit, les contrôles de divulgation et la coopération avec les régulateurs. Les clients contrôlaient leurs choix de collecte et d'utilisation des champs, les notifications locales, les relations avec les constituants et la gouvernance post-incident. Les régulateurs contrôlaient l'application.

Les personnes concernées ne contrôlaient qu'un petit ensemble d'actions de protection après avoir reçu suffisamment d'informations pour agir.

Cette allocation ne nécessite pas d'accusations non fondées. Elle ne dit pas que chaque enregistrement exposé a été utilisé à mauvais escient. Elle ne dit pas que chaque client a mal géré les données. Elle ne dit pas que chaque protection ultérieure a échoué. Elle dit que la partie avec la barrière de preuves avait le devoir le plus élevé de déplacer rapidement des faits précis. Les dossiers de la SEC, de la FTC, des États, des clients et les dossiers publics pointent tous vers cette barrière.

Le cas Blackbaud reste important car il montre un coût caché de la concentration cloud dans le secteur associatif. Les institutions missionnaires peuvent mutualiser leurs données opérationnelles chez un fournisseur spécialisé et gagner en efficacité. Mais lorsque le fournisseur est compromis, les donateurs, anciens élèves, patients, étudiants et sympathisants deviennent une population de préjudice distribuée. Ils ne sont pas seulement les clients d'une association. Ils sont des sujets de données dans un système de fournisseur dont ils peuvent ignorer l'existence.

La leçon durable est simple et difficile: un fournisseur cloud pour le secteur social doit être capable de prouver ce qu'il détient, ce qui a été copié, ce qui a été crypté, ce qui a été conservé inutilement, ce qui a été dit aux clients, ce qui a changé lorsque de nouveaux faits sont apparus et quelles garanties empêchent la récurrence. Sans cette preuve, la notification de données des associations devient un exercice de confiance empruntée. Avec cette preuve, les clients peuvent transformer un incident de fournisseur en une communication précise, rapide et responsable plutôt qu'en une réassurance généralisée.